Když má kontrolu nad tvým zařízením, bude ti hrát divadlo - na obrazovce se ti bude ukazovat, že posíláš pětistovku, ale ve skutečnosti se budou odesílat všechny peníze, co máš, někomu úplně jinému. Ty samozřejmě zadáš OTP a tím potvrdíš transakci - tu útočníkovu.
(Bavíme se o situaci, kdy útočník má (vyownovaný) počítač; pin můžeš zadávat do tokenu - pak se akce vůbec neúčastní, nebo do počítače - a pak ho útočník zná taky)